摘要
近年來,隨著社會生產力的發展和科學技術的進步,全球經濟一體化進程加速,企業之間的競爭加劇,重大會計信息失真的情況也越演越烈。2002年7月,美國總統布什簽署了《薩班斯-奧克斯利法案》,對于上市公司建立并保持有效的內部控制作出了明確、具體的規定。
本文通過淺析信息失真的原因,提出企業內部控制應抓好的幾個環節,并且闡明內部審計在內部控制中發揮的作用,以期與內控建設及內審人員探討之。
一、企業應加強內部控制建設
近年來,我國證券市場會計信息失真的情況層出不窮,從“瓊民源”到“銀廣夏”,從“鄭百文”到“藍田股份”,造假案件越來越多,中國股市和中小投資者的信心遭受了沉重打擊,近期內陸股指已滑落至8年來的最低點。究其原因,筆者認為有如下重要幾點:
(1)我國未把建立和強化內部控制作為企業的一項法律責任。《薩班斯-奧克斯利法案》規定對于上市公司及其高級管理人員出現的提供虛假財務信息的行為要給予嚴厲的刑事及經濟處罰。這樣就使得那些蠢蠢欲動者的造假成本增加,相應減少造假幾率。而目前在我國從法律角度缺乏對企業內部控制方面的法制建設、內部審計和獨立審計等相關方面的行為準則的實質性約束。
(2)市場對于虛假信息有需求才會有上市公司的供給。目前上市公司中絕大多數為國有大中型企業,而這些企業在1998年以前總體效益低下,要上市就需要包裝,過度包裝就會有虛假會計信息的存在。在這一過程中,中國證監會及注冊會計師事務所從一開始就沒有形成完全拒絕虛假會計信息的機制,甚至出現了“深天勤”幫助“銀廣夏”造假的丑聞,這在一定程度上削弱了企業的控制意識。
(3)大多數上市公司內控制度有名無實,權力集中、缺乏制衡、財務信息不對稱、控制環境薄弱、企業短期行為嚴重等,都造成了企業內部控制的失效。
從上述分析中可以看出,要形成一個良好的投資環境,國家與企業需要做的努力都非常大。尤其對于企業而言,其自身內部控制建設尤為關鍵,筆者借COSO框架為基礎,認為應該抓好以下幾個重要環節:
1、建立健全內部控制體系框架
根據《薩班斯-奧克斯利法案》要求,在美國上市的國內一些大型公司目前已經或正在建立符合上市地和中國法律要求,結合企業自身特點和需求,以COSO框架為基礎的內部控制體系,并且按照其要求規范化運做。這是一個好的跡象。筆者認為,要想真正改善中國內陸地區的投資環境、樹立中國企業在國際資本市場上良好、誠信的形象,就必須在內陸上市公司中大力推行內部控制體系建設:國家相關機構應從立法角度加強企業內部控制的法律法規等強制性約束和準則規范;上市公司應該在2-3年內逐步建立起內部控制體系,模式可以以COSO框架為基礎并結合企業自身實際來設計、運行。另外,還要加重對于制造虛假會計信息的處罰力度,增加制造虛假會計信息的成本;同時加強對會計師事務所的管理,使得注冊會計師保持其執業的規范性和獨立性,從而在整個社會形成一種拒絕虛假會計信息的機制。
2、強化企業內部控制環境建設,建立真正意義上的法人治理結構
控制環境是整個內部控制的基礎,是其他一切要素的核心,它的好壞直接影響到企業內部控制的貫徹執行和企業經營目標、整體戰略目標的實現。
(1)要大力提倡和營造一種“控制文化”。一方面董事會和管理層負責促進在道德和完整性方面的高標準并在機構中建立一種文化,向各級人員強調和說明內控的重要性;另一方面,企業所有員工都必須認可理解他們在內控程序中的作用,并在程序中發揮作用。
(2)完善公司治理結構的核心是實現剩余索取權和剩余控制權由集中對稱分布走向分散對稱分布。以國有控股上市公司為例,由于國有股一股獨大和終極所有者缺位,目前的治理結構表現出“行政干預——經營者控制”的基本特征。為了實現治理結構的效率改進,國有企業改革必須由行政干預下的股東主權模式轉變為企業主權模式,可以以轉讓部分國有股權的方式使公司的股權結構多元化、合理化,公眾或機構投資者參與公司治理,從而使公司目標是為了追求所有利益相關者的整體收益最大化,而不僅僅是服務于股東利益最大化,真正實現治理結構的效率改進,為內部控制有效運行營造一個良好的制度環境。
3、建立相應的激勵約束機制,把核心人員及其員工的短期行為長期化
股票期權制度在理論上是可以解決這個問題,重要的是在具體化操作的過程中要掌握好激勵和約束的度,一定要使激勵和約束相適應,這需要各個公司根據其自身的特點和需要設計出合理的期權額度和行權價格等具體實施細節,并且要建立良好的人力資源管理機制,提高公司有關雇傭、訓練、待遇、業績考評及晉升等政策和程序的合理程度。通過這種激勵和約束,使公司核心人員更關注公司長遠的發展,從根源上消除制造虛假會計信息的動機。
4、建立和完善ERP建設,完善內部控制信息披露機制
通過信息化手段整合企業資源可以提高內部控制效率和優化內部控制流程。國外大多數先進企業都已選擇了適合自己的ERP軟件,利用ERP系統進行有效的判斷、決策和控制。目前我們中石油在內控建設中也在逐步整合信息系統,但原來我們的各類系統紛雜繁多,彼此之間相互聯系不太緊密,這些都造成了今后內控測試工作的不便。因此筆者建議,應該盡早關注并實施企業資源計劃(ERP)。ERP可以把企業全部業務涉及到的資源整合起來,企業每一個員工都被明確地賦予在內部控制中所應承擔的職責,并且通過信息和溝通系統,使每一個人都能順暢、快捷地獲取他們在執行、控制經營過程中所需要的信息,并交換這些信息。企業運作層面的供應、生產、銷售交易資料,只要是與財務有關的,都會在財務系統中自動生成,實現財務分析和業務運作的同步進行,使得內部控制動態化,也在很大程度上減輕了對于信息系統內部測試的工作量。
《薩班斯-奧克斯利法案》404條款中明確要求上市公司在年度報告中,必須說明公司管理層建立和維持良好內部控制并建立相應的制度和機制來保證公司內部有合理的控制結構和控制措施。以往人們更關注財務會計信息,而實際信息的真實可靠來源于企業內部控制,內部控制越好,其信息越可靠,審計實質性測試就可相應減少。因此為了提高企業內控意識,提高其信息質量,企業必須建立起內部信息披露制度,在進行內部控制自我評估后,向社會公開披露其內部信息。
5、建立風險評估體系及內部控制制度評價體系
隨著我國進入WTO,國內企業將會面臨更大的環境變化和生存風險。每個企業都應該認真分析并識別出自身存在的風險,建立一個風險數據庫,要分析風險的重要性程度、評估風險發生的可能性或頻率、并且找出企業應該如何應對管理風險的方法。我們可以將控制的重點轉到那些重要業務流程和重要會計科目中去,建立風險評估制度,并且在制度中要明確評估風險的方法,并且應該根據企業環境的變化不斷更新風險。
對企業而言,建立健全內部控制制度是一個漸進的過程,我們應當建立起內部控制評價體現來,隨時應該關注:現有流程中的控制措施是否全面涵蓋了風險,這些控制措施設計是否合理,是否形成了充分的控制證據,這些控制措施是否在相關規章制度中予以體現。我們應該根據情況的變化和出現的問題對相應的內部控制制度作出及時修正或建立新的內控制度。只有不斷進行自我評估和改進,才能建立起行之有效的內控體系。
除上所述,另外,按照COSO框架要求,內部審計在內部控制體系中扮演著重要的角色,下面我們一并來探討一下:
二、內部審計在內部控制中的作用
1、內部控制與內部審計的關系
內部控制與內部審計之間存在一種相互依賴、相互促進的內在聯系。
(1)內部審計是內部控制的一個不可或缺的組成部分。內部審計是為加強內部經濟監督和經營管理的需要而逐漸發展起來的,是企業內部一種獨立的評核工作,通過檢查會計、財務及其他業務,為管理當局提供咨詢、建議等服務。在COSO框架中內部審計作為監督的一個重要角色置于整個內控的較高層。
(2)內部審計又是對內部控制的控制。內部審計又是全面審查、監督內控制度的專門組織,它立于會計控制之外,具有其他任何部門和控制所無法代替的重要作用。目前,內部審計范圍已從傳統的財務收支審計擴展到經營管理的各方面,另外根據國際慣例,內部審計通常代表管理層對整個企業內部控制制度的健全性、有效性及其遵循情況等進行評價,所以它又是對內部控制的控制。
2、內部審計在內部控制中的作用
(1)內部審計的角色由監督者逐步轉變為控制者
內部審計曾一度被定位于“監督者”的角色。英國著名的特恩布爾報告認為,內部審計師的主要作用是“確證和建議”,而不再是以往的“監督和復核”。這一轉變賦予了內部審計更多的內涵,也將內部審計定位成增值性審計。目前,內部審計職能已逐漸發展為“保證和咨詢服務”,內部審計正在充分發揮其評價職能的作用,增加組織價值和改善經營管理,提高有關數據和信息的相關性和可靠性;通過咨詢活動,為管理當局提供專業服務,為風險管理出謀劃策,降低企業風險,從而在實質上促進財務報告內容的確定性和質量的提高。內部審計師也應該成為企業內部戰略的計劃者。
(2)風險導向內部審計是內部審計的發展方向
隨著風險導向內部控制時代的來臨,內部審計的工作重點也發生變化,由“控制”轉向“風險”。在風險導向內部審計觀念下,年度審計計劃與公司最高層的風險戰略連接在一起,內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃相一致,使用風險管理原則改變審核過程。當前我國企業內部審計主要將大部分精力用于財務數據的真實性、合法性的查證和生產經營的監督,管理審計尚未得到廣泛的開展。因此,筆者認為要順應內部審計科學發展的客觀規律,在實踐中有意識地推動內向型管理審計的發展。從強調確認和測試控制完整性,逐步轉向強調確認和測試風險是否得到有效管理。審計建議應不再僅是強化控制、提高控制效率和效果,而應該是規避風險、轉移風險和控制風險,通過風險管理的有效化,提高整體管理效率和效果。
(3)促進公司治理結構的完善和有效性,提高會計信息的質量
國外把必須設置內部審計機構作為一個公司若要上市的必備條件之一,以顯示其內部治理結構的完整性。在COSO框架中更是將內部審計的作用作為要素之一進行了描述和要求。《薩班斯-奧克斯利法案》404條款明確了管理層必須對企業內控運行情況進行有效性評估,這一被稱之為“管理層測試”的過程通常由內部審計部門代表管理層來進行,內部審計部門通過對日常活動的監督和控制,從而減少風險,保證財務信息數據的加工、傳遞和披露的可靠性。筆者認為,今后可以通過持續的內部控制測試將審計范圍延伸到企業生產經營的方方面面,而且在很大程度上可以替代例如常規財務審計、制度審計、合同審計等審計,并且其審計成果也可被其他專項審計所利用,從而將審計工作的重心轉移到咨詢和建議上來。
(4)內部審計作用的充分發揮有賴于其地位的進一步提高
要加強內部審計工作,首先要提高內部審計的地位。內部審計應該具有獨立性和權威性,它代表企業董事會和管理當局對其他部門開展的業務活動及其成果、內部控制執行情況進行監督。在國外,內部審計部門是直接對董事會中的審計委員會負責,具有較強的相對獨立性,內審部門的許多人也最終進入了企業高級管理層。但在我國,由于種種原因,內部審計獨立性實際被大大削弱了,甚至有些企業將內部審計與紀檢、監察部門合并在一起,極大影響了內部審計的獨立性。
筆者建議,上市公司在建立內控體系之時,應當根據相關法律要求建立并發揮好審計委員會的職能,對于內部審計部門的設置應當高于其他職能部門,應該設立如總審計師等職位專門負責本企業的內部審計工作及與其他部門的協調工作;內部審計部門應當隸屬于審計委員會和企業最高管理當局,實行雙向負責制,在特殊情況下可以越過管理當局直接向審計委員會報告,這樣就可以提高內部審計的地位和獨立性,維護必要的內部審計權威,從而充分發揮內部審計在內部控制中的重要作用。
(5)內部審計作為監督要素中的最高層次,在內控體系中發揮著重要作用
根據COSO框架中“監督”要素的要求,企業的監督可以分為持續性監督活動和內部審計定期的、相對獨立的評估兩部分。這樣一來,可以將整個內控體系劃分為三個相對獨立的控制層次:第一個層次是經濟業務發生部門嚴格按照企業內部設計的程序、相互牽制的制度開展業務活動,建立起第一道監控防線。有關人員在處理業務時,必須明確業務處理的權限和應承擔的責任,嚴格按照控制步驟流程辦理。第二個層次,經濟業務最終的流向都是反映到財務報表中去,因此財務部門就要在事后建立起第二道監控防線。要對原始的數據、憑證、票據進行日常性、規范化的檢查稽核,要及時把監督的過程和信息反饋給財務負責人。第三個層次,內部審計部門要建立起以“查”為主的監督防線,通過內部控制測試來發現管理流程中的不足和風險,提出改進措施,促進內控體系建設趨于完善。
總之,加強企業內部控制,建立健全內部控制體系,是企業自身的需求,也是企業面對市場風險與挑戰的需要。內部審計部門更應該發揮好作用,認真總結和探索新方法、新思路,促使企業以合理成本促進有效控制,從而從根本上確保企業持續、穩定、健康發展。
參考文獻:
[1]、《薩班斯-奧克斯利法案與實施404條款管理層實務指南》 中國石油天然氣股份有限公司內控項目建設委員會 編 2004.12
[2]、朱榮恩 《建立和完善內部控制的思考》 《會計研究》 2001年第2期
[3]、佚名 《公司治理下的內部控制與審計》 中華會計網校 2004-08-19
[4]、吳水澎、陳漢文、邵賢弟 《企業內部控制理論的發展與啟示》 《會計研究》2000年第5期
[5]、《內部審計在會計信息失真治理中的作用研究》 中華財會網 2005-04-18
作者:賀健 文章來源:中國石油蘭州石化公司審計處
